Лето. Июнь. Звонок. «У нашего клиента проблемы. Гугл говорит, что на сайте вредоносное ПО или что-то вроде того. Техспециалист в отпуске». Я закатал рукава и кинулся в бой.

1. Убеждаемся, что проблема есть

Яндекс никаких претензий не предъявляет. Сразу начинаю делать резервную копию файлов на сайте (Доступы к хостингу по SFTP прислал обратившийся). Делайте резервные копии!

2. Узнаём про инструменты вебмастера

В смысле, зарегистрирован ли сайт в Яндекс.Вебмастер и Гугл.Вебмастер. Не зарегистрирован — регистрируем и выясняем, заодно вдруг ещё какие проблемы выявятся.

Яндекс говорит, что всё в порядке. Google сообщает, что сайт пытался установить что-то на устройство пользователя, но довольно давно. Возможно, вредоносное ПО лезет только на определённые ПО — например, только на смартфон с ОС Android 4.

3. Скачиваем и устанавливаем Manul от Яндекса

Manul пока не лечит заражнные файлы, но очень красноречиво о них рассказывает. Загружаем папку с антивирусом в корень сайта, переходим по адресу адрес.сайта/manul/index.php и запускаем сканирование(спасибо http://free-antivirus.by/ за скриншот, своих я сделать не догадался):

Копируем лог, загружаем в анализатор Manul. Смотрим отчёт. Что-то нашёл (в моём случае — 9 файлов зараженённых и несколько подозрительных, на фото случай потяжелее):

4. Чистим-лечим

Анализатор Manul предлагает сформировать инструкции для антивируса. Я предпочитаю перестраховаться и перепроверяю сам. Вдруг ещё что-то не то удалит?

Сайт сделан на Joomla!. Работал с системой не раз и знаю, чего ожидать. Выяснилось, что сайт взломали и разместили на нём бэкдор. Для неспециалиста от вируса не отличается, главное — не копирует себя куда попало.

Бэкдор лежал в папках и файлах, похожих по названиям на папки и файлы Joomla!. Создал их взломщик — значит, можно спокойно удалить.

5. Пишем Гуглу: «Невиноватая я, он сам пришёл»

И ушёл. В инструментах для вебмастеров выбираем нужный сайт и бегом в раздел «Проблемы безопасности»

6. Проводим стандартную настройку Joomla! для защиты от взлома.

Хорошая статья №1 об этом и хорошая статья №2. Я исправил всё, что мог, отправил рекомендации заказчику. Главной рекомендацией было, разумеется, сменить все логины и пароли — кто-то ведь уже взломал сайт и загрузил эту гадость.

Итоги и расценки

Гугл убрал плашку вечером того же дня, все остались довольны. За такую работу я возьму на момент написания этого текста 1000 рублей, оплата по факту снятия плашки. Обращайтесь!